집NewAPI 시스템의 심각한 보안 결함으로 인해 무제한으로 누구나 안전하지 않은 키를 자유롭게 사용할 수 있게 되었습니다.
AIbase 보고서, 2026년 4월 16일 — 널리 사용되고 있는 AI 대형 모델 인터페이스 통합 및 관리 시스템인 QuantumNous/new-api(일반적으로 NewAPI로 알려짐)는 오픈소스 커뮤니티와 자체 호스팅 사이트 관리자들 사이에서 인기가 많습니다. 이 시스템은 결제 로직에 심각한 취약점이 있는 것으로 확인되었습니다. Stripe 결제 키가 올바르게 구성되지 않은 경우, 공격자들은 웹훅 이벤트를 위조하여 실제 결제 프로세스를 우회할 수 있으며, 이로 인해 임의의 금액이 “무료”로 재충전될 수 있습니다.
이 취약점에 대한 공격 방법과 대응 전략은 개발자 포럼과 X(이전의 Twitter)와 같은 공개 기술 커뮤니티에서 광범위하게 논의되고 있습니다. 이 시스템이 상업적 운영이나 토큰 기반 결제에 자주 사용되는 점을 고려할 때, 취약점을 발견한 사람은 악의적인 공격과 잠재적인 금융 손실을 방지하기 위해 임시로 전체 증명 코드(PoC)를 공개하지 않고 있습니다.
취약점 원리 분석
NewAPI는 OpenAI나 Claude와 같은 대형 모델 인터페이스의 중간 처리, 결제 및 재충전 기능을 관리하는 시스템입니다. 이번에 발견된 취약점의 핵심은 결제 성공 콜백 과정에서 빈 Stripe 키를 엄격하게 검증하지 않는다는 점에 있습니다.
기술 커뮤니티에서 유포된 공격 흐름 분석에 따르면, 서버 측의 Stripe webhook_secret가 구성되어 있지 않거나 빈 문자열로 남아 있는 경우 심각한 신뢰 문제가 발생합니다:
서명 메커니즘 실패: HMAC-SHA256 알고리즘은 빈 키를 처리할 때 오류를 생성하지 않습니다. 이로 인해 공격자는 서버의 검증 로직에 완벽하게 맞는 위조된 서명을 생성할 수 있습니다.
악의적인 이벤트 생성: 공격자는 주문 번호 형식만 얻거나 추측하면 checkout.session_completed 이벤트를 위조하고 데이터 패킷에 임의로 높은 amount_total(재충전 금액)을 설정할 수 있습니다.
실제 결제 없이 자금이 입금됨: 위조된 요청이 서버의 웹훅 엔드포인트로 전송되면, 서버는 빈 키를 사용하여 서명을 검증합니다. 검증에 성공하면 시스템은 이를 정상적인 결제 거래로 처리하고 공격자의 계정 잔액을 증가시킵니다.
최종 결과: Stripe는 $0을 받게 되며, 공식 Stripe 대시보드에는 거래 기록이 나타나지 않습니다. 그러나 서버 로그에는 정상적인 웹훅 콜백이 기록되며, 공격자의 계정 잔액은 성공적으로 증가합니다.
취약점의 영향 범위
이 취약점은 Stripe Secret Key가 올바르게 구성되지 않은 경우에만 발생합니다. 많은 관리자들이 테스트 환경을 설정할 때나 사이트가 WeChat이나 Alipay와 같은 다른 결제 방법을 주로 사용하는 경우 이 키를 구성하는 것을 간과하여 취약성이 높아집니다.
공식적인 수정 조치 및 권고 사항
이 심각한 보안 위험에 대응하기 위해 프로젝트 팀은 신속하게 대응하여 오늘 최신 버전인 v0.12.10을 출시했습니다. 업데이트 로그에는 수정 방향이 명확하게 나와 있습니다: “비동기 웹훅 이벤트를 더 잘 처리하기 위해 Stripe 결제 프로세스를 개선했다”고 합니다. 이는 콜백 검증에서의 보안 취약점을 근본적으로 해결하는 것입니다.
보안 전문가들은 모든 NewAPI 사용자에게 다음과 같은 조치를 취할 것을 강력히 권장합니다:
즉시 업그레이드하기: 현재 사용 중인 버전을 최신 v0.12.10 이상으로 업그레이드하십시오 (최신 릴리스나 매일 밤 빌드를 직접 다운로드하는 것이 권장됩니다).
키 구성을 반드시 수행하기: 비록 사이트에서 Stripe 결제를 사용하지 않더라도, 업그레이드 후에는 반드시 백엔드에서 Stripe Secret Key를 구성해야 합니다. 무작위로 생성된 강력한 비밀번호 문자열을 사용하거나 환경 변수를 통해 엄격하게 제어함으로써 빈 키가 사용되는 것을 방지하십시오.
결제 내역 자체 검토하기: 즉시 시스템 내의 기존 사용자 주문 및 재충전 기록을 검토하고, 실제로 받은 자금과 대조하여 부정적인 고액 재충전이 없는지 확인하십시오.
결제 인증을 강화하기: 프로덕션 환경에서는 모든 결제 채널에 대한 비동기 콜백 로직을 철저히 검토하여 서명 유효성과 주문 상태의 진위성을 모두 확인하십시오.
이 취약점에 대한 기술적 세부 사항은 이제 공개되었습니다. 악용 가능성이 상대적으로 낮기 때문에, 관련된 모든 관리자들은 즉시 자체 검사와 업그레이드를 수행하여 잠재적인 디지털 자산 손실을 방지하기 바랍니다.
관련 기사
중국 공과대학교(MIIT)가 AI 모델 컨텍스트 프로토콜을 포함한 121개 산업 표준에 대한 대중의 의견을 구하고 있습니다.
중국 산업정보기술부는 “인공지능 보안 거버넌스 모델 컨텍스트 프로토콜의 애플리케이션 보안 요구사항”을 포함한 121개 산업 표준화 프로젝트에 대한 대중의 의견을 구하는 공지를 공식적으로 발표했습니다. 이번 발표는 중국이 인공지능 분야에서 기초 표준과 안전 감독 체계를 수립하기 위한 노력에서 중요한 이정표입니다. 대중 의견 수렴 기간은 모델 컨텍스트 프로토콜의 애플리케이션 보안에 초점을 맞추고 있으며, 표준화된 기술 사양을 통해 다모달 상호작용,
오픈AI, 미국 국방부와 협력… 챗GPT 제거 건수 295% 급증
대중의 분노: OpenAI의 군사 협력이 ‘제거 열풍’을 불러일으키다최근, AI 선두주자인 OpenAI는 미국 국방부와의 긴밀한 협력을 발표하며 자사의 AI 모델을 최고 기밀 군사 네트워크에 통합했습니다. 이 소식은 미국 전역에서 사용자들의 거센 반발을 불러일으켰으며, ‘ChatGPT 보이콧’ 운동이 확산되기 시작했습니다.시장 분석 기관 Sensor Tower에 따르면, 2026년 2월 28일 OpenAI가 이 협력을 공식적으로 발표한 날,
오픈AI, ‘사이트’ 기능 출시… 텍스트 기반 웹사이트로 ‘노코드’ 시대의 종막을 알리다
OpenAI는 자사의 소프트웨어 엔지니어링용 AI인 Codex를 위한 새로운 기능인 ‘Sites’를 선보였습니다. 현재 프리뷰 단계에 있는 이 기능은 유료 Business 및 Enterprise 구독자만 이용할 수 있으며, 웹 및 애플리케이션 개발의 기존 장벽을 없애는 것을 목표로 합니다.본질적으로 'Sites'는 추상적인 아이디어를 실제 작동하는 도구로
관련 특별 주제 추천
비디오 제작
대본 작성과 시각적 스토리텔링을 위한 최고의 AI 텍스트-비디오 변환 플랫폼
2026년 최신 최고의 AI 텍스트-비디오 변환 플랫폼: 시나리오 작성과 시각적 스토리텔링을 위한 최고 평점 도구들. 텍스트를 매력적인 영상으로 변환해 줄 강력하고 혁신적인 솔루션을 만나보세요. 매주 업데이트되는 순위와 실제 테스트 결과를 통해 무료 및 유료 옵션을 비교해 보세요. 창의성과 생산성을 높여줄 완벽한 플랫폼을 찾아보세요. XIX.AI에서 엄선된 플랫폼을 확인해 보세요.
10 도구
xix.ai
챗봇
AI 멀티 에이전트 오케스트레이터: 자연어를 통해 복잡한 자동화 워크플로우를 설계하기
2026 최신 정보: 자연어를 통해 복잡한 자동화 워크플로우를 설계할 수 있는 최고의 AI 멀티 에이전트 오케스트레이터들을 만나보세요. 저희가 엄선한 이 목록에는 태스크 자동화와 지능형 프로세스 관리에 탁월한 최고의 플랫폼들이 포함되어 있습니다. 무료 옵션과 유료 옵션을 실제 사용 사례를 바탕으로 비교해 보세요. XIX.AI가 매주 업데이트하는 전문적인 순위를 통해 AI의 이점을 최대한 활용해 보세요.
10 도구
xix.ai
이미지 편집
최고의 AI 노이즈 감소 소프트웨어: 저조도 야간 사진에서 노이즈와 왜곡을 제거하세요.
2026년 저조도 야간 촬영에 가장 적합한 AI 노이즈 감소 소프트웨어를 발견해 보세요. 저희가 엄선하여 제공하는 이 목록에서는 무료 및 유료 도구들을 비교하며, 실제 사용 테스트 결과와 매주 업데이트되는 순위를 제공합니다. 불필요한 요소들을 쉽게 제거하여 더 깨끗한 이미지를 얻으세요. XIX.AI에서 AI의 강력한 기능을 활용해 보세요.
10 도구
xix.ai
챗봇
최고의 맞춤형 AI 여자친구 생성기: 나만의 개성, 취미, 배경 이야기를 만들어보세요
XIX.AI에서 2026년 최고의 맞춤형 AI 여자친구 생성기를 만나보세요. 독창적인 성격, 취미, 깊이 있는 배경 이야기를 디자인할 수 있도록 엄선된 최고 평점 목록을 확인해 보세요. 실제 사용 후기를 바탕으로 무료 옵션과 유료 옵션을 비교해 보세요. 지금 바로 나만의 완벽한 창의적 동반자를 만나보세요.
10 도구
xix.ai
생산력
AI 아키텍처 설계자: 자연어를 활용하여 확장 가능한 시스템 아키텍처 구축하기
XIX.AI에서 2026년 최고의 AI 아키텍처 설계 도구를 만나보세요. 엄선된 최고 평점 목록에는 자연어를 활용해 확장 가능한 시스템 아키텍처를 구축할 수 있는 강력하고 혁신적인 솔루션이 포함되어 있습니다. 실제 사용 사례를 바탕으로 무료 및 유료 옵션을 비교해 보세요. 지금 바로 AI 경쟁력을 강화하고 개발 프로세스를 간소화하세요.
10 도구
xix.ai
만화 창작
AI 캐릭터 프로필 생성 도구: 만화 캐릭터를 위한 상세한 배경 이야기 및 시각적 참고 자료를 제공합니다.
2026년 최신 최고의 AI 캐릭터 프로필 생성 도구: 만화 캐릭터들을 위한 상세한 배경 이야기와 시각적 참조 자료를 생성하는 데 사용할 수 있는 최고 평가를 받은 도구들을 발견해 보세요. 저희가 매주 업데이트하는 이 목록은 실제 사용 테스트를 기반으로 무료 및 유료 옵션들을 비교합니다. 강력하고 혁신적인 도구들을 활용하여 매력적인 캐릭터를 만들고 창작 작업 흐름을 효율화해 보세요. XIX.AI에서 순위를 확인하고 오늘 바로 완벽한 스토리텔링 도구를 확보하세요.
10 도구
xix.ai
의견 (0)
0/500
AIbase 보고서, 2026년 4월 16일 — 널리 사용되고 있는 AI 대형 모델 인터페이스 통합 및 관리 시스템인 QuantumNous/new-api(일반적으로 NewAPI로 알려짐)는 오픈소스 커뮤니티와 자체 호스팅 사이트 관리자들 사이에서 인기가 많습니다. 이 시스템은 결제 로직에 심각한 취약점이 있는 것으로 확인되었습니다. Stripe 결제 키가 올바르게 구성되지 않은 경우, 공격자들은 웹훅 이벤트를 위조하여 실제 결제 프로세스를 우회할 수 있으며, 이로 인해 임의의 금액이 “무료”로 재충전될 수 있습니다.
이 취약점에 대한 공격 방법과 대응 전략은 개발자 포럼과 X(이전의 Twitter)와 같은 공개 기술 커뮤니티에서 광범위하게 논의되고 있습니다. 이 시스템이 상업적 운영이나 토큰 기반 결제에 자주 사용되는 점을 고려할 때, 취약점을 발견한 사람은 악의적인 공격과 잠재적인 금융 손실을 방지하기 위해 임시로 전체 증명 코드(PoC)를 공개하지 않고 있습니다.
취약점 원리 분석
NewAPI는 OpenAI나 Claude와 같은 대형 모델 인터페이스의 중간 처리, 결제 및 재충전 기능을 관리하는 시스템입니다. 이번에 발견된 취약점의 핵심은 결제 성공 콜백 과정에서 빈 Stripe 키를 엄격하게 검증하지 않는다는 점에 있습니다.
기술 커뮤니티에서 유포된 공격 흐름 분석에 따르면, 서버 측의 Stripe webhook_secret가 구성되어 있지 않거나 빈 문자열로 남아 있는 경우 심각한 신뢰 문제가 발생합니다:
서명 메커니즘 실패: HMAC-SHA256 알고리즘은 빈 키를 처리할 때 오류를 생성하지 않습니다. 이로 인해 공격자는 서버의 검증 로직에 완벽하게 맞는 위조된 서명을 생성할 수 있습니다.
악의적인 이벤트 생성: 공격자는 주문 번호 형식만 얻거나 추측하면 checkout.session_completed 이벤트를 위조하고 데이터 패킷에 임의로 높은 amount_total(재충전 금액)을 설정할 수 있습니다.
실제 결제 없이 자금이 입금됨: 위조된 요청이 서버의 웹훅 엔드포인트로 전송되면, 서버는 빈 키를 사용하여 서명을 검증합니다. 검증에 성공하면 시스템은 이를 정상적인 결제 거래로 처리하고 공격자의 계정 잔액을 증가시킵니다.
최종 결과: Stripe는 $0을 받게 되며, 공식 Stripe 대시보드에는 거래 기록이 나타나지 않습니다. 그러나 서버 로그에는 정상적인 웹훅 콜백이 기록되며, 공격자의 계정 잔액은 성공적으로 증가합니다.
취약점의 영향 범위
이 취약점은 Stripe Secret Key가 올바르게 구성되지 않은 경우에만 발생합니다. 많은 관리자들이 테스트 환경을 설정할 때나 사이트가 WeChat이나 Alipay와 같은 다른 결제 방법을 주로 사용하는 경우 이 키를 구성하는 것을 간과하여 취약성이 높아집니다.
공식적인 수정 조치 및 권고 사항
이 심각한 보안 위험에 대응하기 위해 프로젝트 팀은 신속하게 대응하여 오늘 최신 버전인 v0.12.10을 출시했습니다. 업데이트 로그에는 수정 방향이 명확하게 나와 있습니다: “비동기 웹훅 이벤트를 더 잘 처리하기 위해 Stripe 결제 프로세스를 개선했다”고 합니다. 이는 콜백 검증에서의 보안 취약점을 근본적으로 해결하는 것입니다.
보안 전문가들은 모든 NewAPI 사용자에게 다음과 같은 조치를 취할 것을 강력히 권장합니다:
즉시 업그레이드하기: 현재 사용 중인 버전을 최신 v0.12.10 이상으로 업그레이드하십시오 (최신 릴리스나 매일 밤 빌드를 직접 다운로드하는 것이 권장됩니다).
키 구성을 반드시 수행하기: 비록 사이트에서 Stripe 결제를 사용하지 않더라도, 업그레이드 후에는 반드시 백엔드에서 Stripe Secret Key를 구성해야 합니다. 무작위로 생성된 강력한 비밀번호 문자열을 사용하거나 환경 변수를 통해 엄격하게 제어함으로써 빈 키가 사용되는 것을 방지하십시오.
결제 내역 자체 검토하기: 즉시 시스템 내의 기존 사용자 주문 및 재충전 기록을 검토하고, 실제로 받은 자금과 대조하여 부정적인 고액 재충전이 없는지 확인하십시오.
결제 인증을 강화하기: 프로덕션 환경에서는 모든 결제 채널에 대한 비동기 콜백 로직을 철저히 검토하여 서명 유효성과 주문 상태의 진위성을 모두 확인하십시오.
이 취약점에 대한 기술적 세부 사항은 이제 공개되었습니다. 악용 가능성이 상대적으로 낮기 때문에, 관련된 모든 관리자들은 즉시 자체 검사와 업그레이드를 수행하여 잠재적인 디지털 자산 손실을 방지하기 바랍니다.
중국 공과대학교(MIIT)가 AI 모델 컨텍스트 프로토콜을 포함한 121개 산업 표준에 대한 대중의 의견을 구하고 있습니다.
중국 산업정보기술부는 “인공지능 보안 거버넌스 모델 컨텍스트 프로토콜의 애플리케이션 보안 요구사항”을 포함한 121개 산업 표준화 프로젝트에 대한 대중의 의견을 구하는 공지를 공식적으로 발표했습니다. 이번 발표는 중국이 인공지능 분야에서 기초 표준과 안전 감독 체계를 수립하기 위한 노력에서 중요한 이정표입니다. 대중 의견 수렴 기간은 모델 컨텍스트 프로토콜의 애플리케이션 보안에 초점을 맞추고 있으며, 표준화된 기술 사양을 통해 다모달 상호작용,
오픈AI, 미국 국방부와 협력… 챗GPT 제거 건수 295% 급증
대중의 분노: OpenAI의 군사 협력이 ‘제거 열풍’을 불러일으키다최근, AI 선두주자인 OpenAI는 미국 국방부와의 긴밀한 협력을 발표하며 자사의 AI 모델을 최고 기밀 군사 네트워크에 통합했습니다. 이 소식은 미국 전역에서 사용자들의 거센 반발을 불러일으켰으며, ‘ChatGPT 보이콧’ 운동이 확산되기 시작했습니다.시장 분석 기관 Sensor Tower에 따르면, 2026년 2월 28일 OpenAI가 이 협력을 공식적으로 발표한 날,
오픈AI, ‘사이트’ 기능 출시… 텍스트 기반 웹사이트로 ‘노코드’ 시대의 종막을 알리다
OpenAI는 자사의 소프트웨어 엔지니어링용 AI인 Codex를 위한 새로운 기능인 ‘Sites’를 선보였습니다. 현재 프리뷰 단계에 있는 이 기능은 유료 Business 및 Enterprise 구독자만 이용할 수 있으며, 웹 및 애플리케이션 개발의 기존 장벽을 없애는 것을 목표로 합니다.본질적으로 'Sites'는 추상적인 아이디어를 실제 작동하는 도구로
2026년 최신 최고의 AI 텍스트-비디오 변환 플랫폼: 시나리오 작성과 시각적 스토리텔링을 위한 최고 평점 도구들. 텍스트를 매력적인 영상으로 변환해 줄 강력하고 혁신적인 솔루션을 만나보세요. 매주 업데이트되는 순위와 실제 테스트 결과를 통해 무료 및 유료 옵션을 비교해 보세요. 창의성과 생산성을 높여줄 완벽한 플랫폼을 찾아보세요. XIX.AI에서 엄선된 플랫폼을 확인해 보세요.
10 도구
xix.ai
2026 최신 정보: 자연어를 통해 복잡한 자동화 워크플로우를 설계할 수 있는 최고의 AI 멀티 에이전트 오케스트레이터들을 만나보세요. 저희가 엄선한 이 목록에는 태스크 자동화와 지능형 프로세스 관리에 탁월한 최고의 플랫폼들이 포함되어 있습니다. 무료 옵션과 유료 옵션을 실제 사용 사례를 바탕으로 비교해 보세요. XIX.AI가 매주 업데이트하는 전문적인 순위를 통해 AI의 이점을 최대한 활용해 보세요.
10 도구
xix.ai
2026년 저조도 야간 촬영에 가장 적합한 AI 노이즈 감소 소프트웨어를 발견해 보세요. 저희가 엄선하여 제공하는 이 목록에서는 무료 및 유료 도구들을 비교하며, 실제 사용 테스트 결과와 매주 업데이트되는 순위를 제공합니다. 불필요한 요소들을 쉽게 제거하여 더 깨끗한 이미지를 얻으세요. XIX.AI에서 AI의 강력한 기능을 활용해 보세요.
10 도구
xix.ai
XIX.AI에서 2026년 최고의 맞춤형 AI 여자친구 생성기를 만나보세요. 독창적인 성격, 취미, 깊이 있는 배경 이야기를 디자인할 수 있도록 엄선된 최고 평점 목록을 확인해 보세요. 실제 사용 후기를 바탕으로 무료 옵션과 유료 옵션을 비교해 보세요. 지금 바로 나만의 완벽한 창의적 동반자를 만나보세요.
10 도구
xix.ai
XIX.AI에서 2026년 최고의 AI 아키텍처 설계 도구를 만나보세요. 엄선된 최고 평점 목록에는 자연어를 활용해 확장 가능한 시스템 아키텍처를 구축할 수 있는 강력하고 혁신적인 솔루션이 포함되어 있습니다. 실제 사용 사례를 바탕으로 무료 및 유료 옵션을 비교해 보세요. 지금 바로 AI 경쟁력을 강화하고 개발 프로세스를 간소화하세요.
10 도구
xix.ai
2026년 최신 최고의 AI 캐릭터 프로필 생성 도구: 만화 캐릭터들을 위한 상세한 배경 이야기와 시각적 참조 자료를 생성하는 데 사용할 수 있는 최고 평가를 받은 도구들을 발견해 보세요. 저희가 매주 업데이트하는 이 목록은 실제 사용 테스트를 기반으로 무료 및 유료 옵션들을 비교합니다. 강력하고 혁신적인 도구들을 활용하여 매력적인 캐릭터를 만들고 창작 작업 흐름을 효율화해 보세요. XIX.AI에서 순위를 확인하고 오늘 바로 완벽한 스토리텔링 도구를 확보하세요.
10 도구
xix.ai
